Selon une étude du gestionnaire de mots de passe Dashlane, en 2020, chaque français gérera en moyenne plus de 180 mots de passe pour accéder à l’ensemble des services auxquels il a souscrit. Le nombre est énorme. Pourtant, il est acquis que ce mode d’identification a atteint ses limites et qu’il ne correspond plus aux standards de sécurité du moment. A l’occasion de la conférence Finovate Europe 2017, nombre d’éditeurs ont proposé une nouvelle approche basée sur la biométrie pour combler les lacunes du bon vieux sésame textuel.
Si le mot de passe fait office de norme depuis la naissance de l’informatique grand public, il semble désormais avoir atteint ses limites. Pour le client, il ne constitue plus un niveau de sécurité suffisant car les méthodes visant à subtiliser les mots de passe (keyloggers, phishing, etc.) ont progressé de façon significative avec la généralisation des usages digitaux. De même, pour les fournisseurs – notamment les établissements financiers – le mot de passe s’avère insuffisant pour attester de l’identité de l’utilisateur, car utiliser un mot de passe ne prouve en aucun cas qu’on en est le détenteur.
Par ailleurs, dans les prochains mois, la révision de la directive sur les services de paiements (DSP 2) va imposer aux établissements de mettre en œuvre des méthodes d’authentification renforcées. Dans ce contexte, il semble évident que le mot de passe vit ses dernières heures et qu’il est urgent de le remplacer. Il convient alors de trouver la méthode d’authentification la plus sûre possible sans sacrifier l’expérience utilisateur pour autant. C’est là que la biométrie fait son entrée.
Quatre empreintes digitales au lieu d’une seule
Quand Apple a lancé son capteur TouchID pour iPhone en 2013, les hackers de tous bords se sont empressés de démontrer qu’il était facile de tromper le système. En effet, l’obtention et la reproduction d’une empreinte digitale est d’une simplicité confondante. Aujourd’hui, il est désormais possible, depuis un mobile, de scanner 4 empreintes digitales directement depuis l’appareil photo du téléphone. Cette méthode offrirait un niveau de sécurité bien supérieur car la reproduction de quatre empreintes digitales s’avère moins aisée qu’une seule.
Solution d’identification à 4 doigts de Veridium
Se connecter à son compte en un regard
Une autre méthode semble émerger : l’empreinte oculaire. En utilisant la caméra frontale du téléphone, on est capable de s’assurer qu’un regard est bien celui d’une personne donnée. Pour cela, des solutions comme EyePrint ID de la société EyeVerify utilisent une empreinte générée à partir des vaisseaux sanguins visibles à la surface de l’œil. Contrairement à l’empreinte digitale qui a une durée de vie a priori illimitée, l’empreinte oculaire serait valable de 2 à 7 ans, selon les individus.
Solution EyePrint ID de EyeVerify
Faire bonne figure
D’autres solutions consistent à analyser l’ensemble du visage pour attester de l’identité d’une personne. Ces solutions proposent des algorithmes poussés qui s’assurent que l’image fournie en entrée, n’est ni une photographie, ni une vidéo. Pour y parvenir, elles projettent une lumière colorée sur le visage à l’aide de l’écran du smartphone pour créer des reflets sur la peau. L’intensité de ces reflets permet de vérifier qu’il s’agit bien d’un véritable visage.
Reconnaissance faciale depuis un téléphone mobile avec iProov.
La voix de son maître
La méthode d’authentification par reconnaissance vocale semble elle aussi tout à fait pertinente. L’interface invite l’utilisateur à prononcer une phrase inscrite à l’écran. En capturant ce signal, l’application établit une empreinte vocale qu’elle compare à l’empreinte de référence de l’utilisateur.
Connexion à l’espace client de Worldcore via la reconnaissance vocale
Nouvelles méthodes, nouveaux enjeux
Ces nouvelles approches permettent d’imaginer une expérience utilisateur toujours plus fluide, dans laquelle la saisie des identifiants de connexion n’est même plus une formalité. En cela, c’est une excellente idée. Pourtant, ces méthodes risquent aussi de se heurter à la dure réalité du terrain car elles posent de nouvelles questions. Par exemple, s’agissant de données biométriques, et donc de données personnelles, il va falloir garantir que la nature des données stockées et les modalités de leur conservation respectent bien les standards en vigueur (CNIL, etc.). D’autre part, la pérennité de ces méthodes d’authentification interroge. Serais-je bien en mesure de me connecter aux services de ma banque si j’ai une coupure au doigt ? Mes proches pourront-ils accéder à mes comptes si je tombe gravement malade ? Ces cas d’usage, en apparence simples, sont autant de nouveaux challenges dans un environnement régi par la biométrie.
Pour provoquer l’adoption des méthodes d’authentification biométriques, il va falloir convaincre. D’ici là, le mot de passe aura de beaux jours devant lui…
Pour aller plus loin, retrouvez les démonstrations de Finovate Europe 2017 en vidéo :
